首先这里的内网不包含网络拓扑规划、应用发布、访问控制的等基础网络规划的内容,对于身份鉴别模式和访问控制有推荐的场景模式。
对于内网安全的管控还是回归风险评估三要素,从扫要素开始说起,更能体现管控工作的思路。
风险评估三要素:
- 资产:这里包含所有的IT资产和无形资产(包含数据和名誉);
- 威胁:这里一般指的是面临的内部和外部可能的有害行为和力量;
- 脆弱:这里多指漏洞以及存在的其他隐患;
换了个角度来分析就看出来为什么内网安全第一步要做资产的收集整理归类,其实这一步恰恰也是最繁杂的。
一般公司不会再初创伊始就注重安全,肯定是发展到了一定阶段才开始关注安全并建立自己的安全部门,除了紧急救火外,
第一步要做的推进事项就是收集资产、分类资产、管控资产;特别要注明的是对不同的资产要执行不同的安全策略。
类似OA、财务、域控等重要系统,它们或许有敏感数据,或许有内网权限集合,所以要格外特别保护,执行最严格的管理措施,但是对于测试虚拟化主机池,在做好隔离的情况下,不一定要执行一类的安全标准。
执行资产发现的技术方案:
- 收集最原始的数据包括(IP、域名、URL等);
- 收集业务相关信息(资产归属和运维负责人、资产使用目的等);
- 使用以上数据对内网进行探测发现(masscan、nmap)发现活跃的Domain、IP、URL等,对于域名还要进行多种解析,求得子域名、A记录、CNAME等(DNS、PDNS);
- 所有等级资产入库,对于所有IP进行端口扫描获取运行的服务、软件及其版本、组件及其版本、标题等相关信息核对相关归属人入库;
- 对以上信息进行管理形成统一的资产数据库;
这里的脆弱咱们一般还是基于漏洞管控的角度展开,一般有三个问题,第一如何发现漏洞,如何修复漏洞、后续管控问题。这个漏洞管控流程要形成闭环,争取做到实时级或者准实时级监控,从而有效解决漏洞或者说是脆弱性的问题。
这里的威胁包含内部和外部的威胁,外部威胁常见,所有的攻击行为都算,
内部常见的攻击行为也算,但是还有一类值得注意,敏感信息的泄露,机密文件(标书、报价单、录用函、合同)还有知识产权资产(代码、专利、技术方案等),
除了上DLP监控外还需要对Github、各种网盘、代码托管平台、云平台进行监控,保障自身利益。这里对于主动防御(进攻类防御等)不做介绍,对于外界的舆论安全等也暂不考虑。
所以建立内网的IDS/IPS体系也是十分必要的。我们要建立的能力要具备两点、第一事前、事中告警和事后应急审计。
对于审计还想所说一句,基于IP的使用ACL类技术进行的访问控制虽然成本低廉、但缺乏动态变化兼容的能力,基于身份、终端认证的访问控制及其日志的留存对于事后的审计、追踪、问责具有非常重要的意义。
对于以上三者种种,一个新成立的安全部门上俩最重要的事情除了救火,就是建立者三位一体的体系,收集好资产建立最基本的管控运营的基础、并整合漏洞扫系统(建立对于漏洞的处置闭环),
同时结合威胁情报,监控内外部安全事件,及时处置、善后。建立者三位一体的体系之后,内网安全战争的最基本的物质基础才算建设好,有了这些武器装备才能真正开始内网的安全战争。
转载:https://www.cnblogs.com/backlion/p/10153547.html